Planifier un magasin de clés externe - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Planifier un magasin de clés externe

Avant de créer votre magasin de clés externe, choisissez l'option de connectivité qui détermine comment AWS KMS communique avec les composants de votre magasin de clés externe. L'option de connectivité que vous choisissez détermine le reste du processus de planification.

En savoir plus :

  • Passez en revue le processus de création d'un magasin de clés externe, ce qui inclut de réunir les conditions préalables. Cela vous aidera à vous assurer que vous disposez de tous les composants dont vous avez besoin lorsque vous créez votre magasin de clés externe.

  • Découvrez comment contrôler l'accès à votre magasin de clés externe, notamment les autorisations requises par les administrateurs et les utilisateurs du magasin de clés externe.

  • Découvrez les CloudWatch statistiques et les dimensions Amazon AWS KMS enregistrées pour les principaux magasins externes. Nous vous recommandons vivement de créer des alertes pour surveiller votre magasin de clés externe afin de détecter les premiers signes de problèmes de performance et de fonctionnement.

Choisir une option de connectivité de proxy

Si vous créez un magasin de clés externe, vous devez déterminer comment AWS KMS communique avec votre proxy de magasin de clés externe. Ce choix déterminera les composants dont vous avez besoin et la manière dont vous les configurez. AWS KMS prend en charge les options de connectivité suivantes. Choisissez l'option qui répond à vos objectifs de performance et de sécurité.

Avant de commencer, vérifiez que vous avez besoin d'un magasin de clés externe. La plupart des clients peuvent utiliser des clés KMS soutenues par des éléments de clé AWS KMS.

Note

Si votre proxy de magasin de clés externe est intégré à votre gestionnaire de clés externe, votre connectivité peut être prédéterminée. Pour obtenir des conseils, consultez la documentation de votre gestionnaire de clés externe ou de votre proxy de magasin de clés externe.

Vous pouvez modifier l'option de connectivité de votre proxy de magasin de clés externe, même sur un magasin de clés externe opérationnel. Toutefois, le processus doit être soigneusement planifié et exécuté afin de minimiser les interruptions, d'éviter les erreurs et de garantir un accès continu aux clés cryptographiques qui chiffrent vos données.

Connectivité au point de terminaison public

AWS KMS se connecte au proxy de magasin de clés externe (proxy XKS) via Internet à l'aide d'un point de terminaison public.

Cette option de connectivité est plus facile à configurer et à gérer, et elle s'adapte parfaitement à certains modèles de gestion des clés. Toutefois, il se peut qu'elle ne réponde pas aux exigences de sécurité de certaines organisations.


                    Connectivité au point de terminaison public

Prérequis

Si vous optez pour la connectivité au point de terminaison public, les éléments suivants sont requis.

  • Le proxy de votre magasin de clés externe doit être accessible à partir d'un point de terminaison publiquement routable.

  • Vous pouvez utiliser le même point de terminaison public pour plusieurs magasins de clés externes à condition qu'ils utilisent des valeurs de chemin d'URI de proxy différentes.

  • Vous ne pouvez pas utiliser le même point de terminaison pour un magasin de clés externe doté d'une connectivité au point de terminaison public et pour un magasin de clés externe doté d'une connectivité aux services de point de terminaison d'un VPC dans la même Région AWS, même si les magasins de clés se trouvent dans des Comptes AWS différents.

  • Vous devez obtenir un certificat TLS émis par une autorité de certification publique prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les Autorités de certification approuvées (langue française non garantie).

    Le nom commun (CN) du sujet figurant sur le certificat TLS doit correspondre au nom de domaine indiqué dans le point de terminaison URI de proxy pour le proxy du magasin de clés externe. Par exemple, si le point de terminaison public est https://myproxy.xks.example.com, le TLS, le CN du certificat TLS doit être myproxy.xks.example.com ou *.xks.example.com.

  • Assurez-vous que tous les pare-feux situés entre AWS KMS et le proxy de magasin de clés externe autorisent le trafic en provenance et à destination du port 443 sur le proxy. AWS KMS communique sur le port 443. Cette valeur n'est pas configurable.

Pour connaître toutes les exigences relatives à un magasin de clés externe, veuillez consulter la rubrique Réunir les conditions préalables.

Connectivité au service de point de terminaison d'un VPC

AWS KMS se connecte au proxy de magasin de clés externe (proxy XKS) en créant un point de terminaison d'interface vers un service de point de terminaison d'un Amazon VPC que vous créez et configurez. Vous êtes responsable de la création du service de point de terminaison d'un VPC et de la connexion de votre VPC à votre gestionnaire de clés externe.

Votre service de point de terminaison peut utiliser n'importe laquelle des options Network-to-Amazon VPC (du réseau vers Amazon VPC) prises en charge pour les communications, notamment AWS Direct Connect.

Cette option de connectivité est plus compliquée à configurer et à gérer. Mais elle utilise AWS PrivateLink, ce qui permet à AWS KMS de se connecter en privé à votre Amazon VPC et à votre proxy de magasin de clés externe sans utiliser l'Internet public.

Vous pouvez localiser le proxy de votre magasin de clés externe dans votre Amazon VPC.


                    Connectivité au service de point de terminaison d'un VPC : proxy XKS dans votre VPC

Vous pouvez également localiser le proxy de votre magasin de clés externe à l'extérieur d'AWS et n'utiliser votre service de point de terminaison d'un Amazon VPC que pour une communication sécurisée avec AWS KMS.


                    Connectivité au service de point de terminaison d'un VPC : proxy XKS en dehors d'AWS